Patientendaten-Schutz-Gesetz in Kraft getreten – Die elektronische Patientenakte kommt zum 1.1.2021 – jedoch unter datenschutzrechtlichen Bedenken

PrintMailRate-it

veröffentlicht am 8. Dezember 2020; Autor: Maximilian S. Dachlauer


Banner Röntgenbild



Mit der Billigung des Bundesrats am 18.9.2020 nahm das Patientendaten-Schutz-Gesetz auch die letzte Hürde im Gesetzgebungsverfahren und wurde schließlich am 19.10.2020 im Bundesgesetzblatt veröffentlicht. Damit ist es seit dem 20.10.2020 in Kraft.


Welche Daten werden in der elektronischen Patientenakte (EPA) gespeichert und wer stellt sie zur Verfügung?

Auf Wunsch des Patienten werden in der ePA Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte, Impfungen, elektronische Medikationspläne, elektronische Arztbriefe und Notfalldatensätze gespeichert. Neben diesen Daten können auch eigene Daten, wie z. B. ein Tagebuch über Blutzuckermessungen, abgelegt werden. Durch das Terminservice- und Versorgungsgesetz sind Krankenkassen ab 2021 verpflichtet, allen gesetzlich Versicherten eine ePA zur Verfügung stellen.


Telematikinfrastruktur ermöglicht den Datenverkehr

Damit alle Daten gespeichert werden können, müssen sich Arztpraxen und weitere Einrichtungen wie zum Beispiel Krankenhäuser an die sogenannte Telematikinfrastruktur (TI) anschließen. Die TI ist die „Datenautobahn des Gesundheitswesens” und vernetzt Leistungserbringer, Kostenträger und Versicherte.


Sie umfasst sowohl eine dezentrale Infrastruktur als auch eine zentrale Infrastruktur sowie verschiedene Anwendungen. Die dezentrale Infrastruktur besteht aus Komponenten zur Authentifizierung und sicheren Übermittlung von Daten in die zentrale Infrastruktur. Komponenten der dezentralen Infrastruktur sind beispielsweise die elektronische Gesundheitskarte, die Heilberufs- und Berufsausweise sowie die Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, die die Authentifizierung, Verschlüsselung und elektronische Signatur gewährleisten.


Auch zählen die Konnektoren dazu, die die sichere Verbindung zur TI herstellen und sicherheitskritische Funktionalitäten anbieten, ebenso wie die E-Health-Kartenterminals zum Lesen der Karten und Ausweise. Die zentrale Infrastruktur enthält sichere Zugangsdienste (z. B. über ein virtuelles privates Netzwerk, abgekürzt VPN) als Schnittstelle zur dezentralen Infrastruktur und ein gesichertes Kommunikationsnetz.


Die Anwendungsinfrastruktur als dritter Baustein der TI hingegen besteht aus verschiedenen technischen Diensten und Systemen, die einzelne Funktionalitäten der TI umsetzen und überhaupt nutzbar machen (z. B. das Versichertenstammdatenmanagement oder auch die elektronische Patientenakte als Software).


Mit dem Digitale-Versorgung-Gesetz wurden Apotheken bis Ende September 2020 und Krankenhäuser bis 1.1.2021 verpflichtet, sich an die TI anzuschließen. Ärzte, die sich nicht anschließen wollen, mussten ab 1.3.2020 einen Honorarabzug von 2,5 Prozent in Kauf nehmen.


Was regelt das Patientendaten-Schutz-Gesetz in diesem Zusammenhang?

In der ePA werden zahlreiche sehr sensible Gesundheitsdaten eingestellt. Der nötige Datenschutz für die Gesundheitsdaten der Patienten soll durch das Patientendaten-Schutz-Gesetz gewährleistet werden. Für die Effektivität der ePA ist auch entscheidend, dass der Patient mit dem PDSG ein Recht darauf erhält, dass der Arzt die ePA befüllt.


DSK stuft PDSG als europarechtswidrig ein

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hält mit Entschließung vom 1.9.2020 das PDSG für europarechtswidrig.


Durch das zu grob ausgestaltete Zugriffsmanagement werde gegen das datenschutzrechtliche Need-to-know-Prinzip verstoßen. Hintergrund ist, dass im Jahr 2021 keine Steuerung auf Dokumentenebene für die von den Ärzten eingestellten Daten vorgesehen ist. Alle Ärzte, denen die Patienten Einsicht gewähren, können alle Patientendaten einsehen, auch wenn dies in der konkreten Behandlungssituation nicht erforderlich ist.


So kann beispielsweise der behandelnde Zahnarzt auf die Daten des behandelnden Psychiaters zugreifen und umgekehrt. Dies soll sich erst ab 2022 ändern. Versicherte, die keine geeigneten Endgeräte besitzen oder diese nicht nutzen möchten, erhalten aber auch über das Jahr 2021 hinaus nicht die Möglichkeit, die Zugriffsrechte im Einzelnen zu managen. Ab 1.1.2022 ist diesen sog. „Nicht-Frontend-Nutzern” lediglich eine Vertreterlösung möglich. Sie können ihre Rechte mittels eines Vertreters und dessen mobilem Endgerät ausüben, müssen hierzu jedoch dem Vertreter vollständigen Zugriff auf ihre Gesundheitsdaten gewähren.


Die DSK kritisiert jedoch auch das Authentifizierungsverfahren für die ePA. Nach der DSGVO muss die Authentifizierung ein höchstmögliches Sicherheitsniveau nach dem Stand der Technik gewährleisten. Schließlich handelt es sich bei den Daten in der ePA um höchstsensible Gesundheitsdaten. Dies gelte – so die DSK – insbesondere für Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte (sog. alternative Authentifizierungsverfahren). Erfüllen diese das höchstmögliche Sicherheitsniveau nicht, wird gegen geltendes Datenschutzrecht verstoßen.


Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kündigt Massnahmen an

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber hat, wie berichtet, bereits aufsichtsrechtliche Mittel angekündigt. Er ist für die Datenschutzaufsicht über einen Großteil der gesetzlichen Krankenkassen zuständig. Mit allen ihm zur Verfügung stehenden aufsichtsrechtlichen Mitteln werde er dafür sorgen, dass die Krankenkassen mit der von ihnen angebotenen ePA nicht gegen die DSGVO verstoßen. Zudem bereite er bereits entsprechende Warnungen und Weisungen vor, damit die Krankenkassen nur nach Nutzung eines nach Stand der Technik hochsicheren Authentifizierungsverfahrens Zugriffe auf Gesundheitsdaten erlauben. Wie die Medical Tribune berichtet, hat der BfDI den Krankenkassen, die seiner Aufsicht unterstehen, in einem Schreiben vom 6. November eine offizielle Warnung hinsichtlich der ePA übermittelt. Die Befugnisse der zuständigen Datenschutzaufsicht würden nach Art. 58 Abs. 2 lit. d) und f) DSGVO auch das Recht einschließen, den Verantwortlichen anzuweisen, eine Verarbeitungstätigkeit in Einklang mit der DSGVO zu bringen sowie das Recht, eine Verarbeitungstätigkeit zu verbieten.

Kontakt

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

Wir beraten Sie gern!

 

 

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu